ASEC 週間フィッシングメールの脅威トレンド (20221225 ~ 20221231) Posted By ATCP , 2023년 01월 10일 ASEC 分析チームでは、ASEC 自動解析システム(RAPIT)とハニーポットを活用してフィッシングメールの脅威をモニタリングしている。本記事では、2022年12月25日から12月31日までの一週間で確認されたフィッシングメール攻撃の拡散事例と、これらをタイプ別に分類した統計情報を紹介する。一般的にはフィッシング攻撃者が社会工学技法を利用し、主にメールを利用して機関、企業、個人などに偽装したり、これらを詐称することで、ユーザーにログインアカウント(クレデンシャル)情報を流出させる攻撃のことを指す。また、フィッシングは広い意味で、攻撃者が各対象を相手にする情報流出、マルウェア配布、オンライン詐欺行為などの攻撃を可能にする不正な手口(technical subterfuge)を意味する。本記事では、フィッシングは主にメールで配布される攻撃というところにフォーカスをあてている。そして、フィッシングメールをベースに行われる様々な攻撃方式を詳細にカテゴライズする。そしてまだ発見されていなかった新たなタイプや注意すべきメールをキーワードとともに紹介し、ユーザーの被害の最小化に努める。本記事で扱うフィッシングメールは添付ファイルのあるメールのみとする。添付ファイルがなく、不正なリンクのみが本文に含まれているメールは本記事では扱わない。 フィッシングメールの脅威タイプ 一週間のフィッシングメールの添付ファイルのうち、最も多いタイプは情報窃取マルウェア(Infostealer、46%)であった。情報窃取マルウェアは AgentTesla、FormBook などが含まれており、Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させる。その次に多かったタイプは偽のページ(FakePage、29%)であった。偽のページは攻撃者がログインページ、広告ページの画面構成、ロゴ、フォントをそのまま模倣したページで、ユーザーに自分のアカウントとパスワードを入力するように誘導し、入力された情報は攻撃者の C2…
kakao ログイン画面に偽装した Web ページ Posted By ATCP , 2023년 01월 10일 ASEC 分析チームは最近、kakao ログインページに偽装して特定人物の個人情報を窃取しようとしている状況を確認した。ユーザーがこのページに初めて接続する正確な流入経路は確認できていないが、フィッシングページを通して接続されるページで Web ログインを誘導しているものと推定される。 Web ページに接続すると、以下の図1のように kakao アカウントの ID が自動入力されている。kakao メールがある場合、メールの…
ポケモンゲームに偽装した NetSupport RAT マルウェアが拡散中 Posted By ATCP , 2023년 01월 06일 NetSupport Manager は遠隔操作ツールであり、一般ユーザーや企業ユーザーが遠隔でシステムを操作する目的でインストールおよび使用される。しかし、外部から特定のシステムを制御できるといった機能が、多くの攻撃者によって悪用されている。 遠隔操作ツール(Remote Administration Tool)のほとんどは、コマンドラインベースのバックドアおよび RAT(Remote Access Trojan)マルウェアとは異なり、ユーザーの利便性が重要であるため、リモートデスクトップ、すなわち GUI 環境を提供していることが特徴である。悪意をもって開発されていなくても、感染先システムにインストールされると、攻撃者によりさらなるマルウェアのインストールや情報窃取のような悪意を持った目的で使われることがある。 バックドア型マルウェアとは異なり、ほとんどの遠隔操作ツールは多くのユーザーが使用しているものであるため、正常なプログラムとして認識しやすくなる。すなわち、攻撃者たちには正常なプログラムである遠隔操作ツールを利用して、セキュリティ製品の検知を回避し、同時に…
ASEC マルウェア週間統計 ( 20221226~20230101 ) Posted By ATCP , 2023년 01월 06일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年12月26日(月)から01月01日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではダウンローダーが48.8%と1位を占めており、その次にバックドアが24.2%、続いてインフォスティラーが18.4%、コインマイナーが4.8%、ランサムウェアが3.4%、最後にバンキング型マルウェアが0.5%の順に集計された。 Top 1 – SmokeLoader Smokeloader はインフォスティーラー…
コインマイナーをインストールする Shc Linux マルウェア Posted By ATCP , 2023년 01월 04일 ASEC 分析チームは最近、Shc で開発された Linux マルウェアがコインマイナーマルウェアをインストールしていることを確認した。攻撃者は不適切に管理されている Linux SSH サーバーを対象に辞書攻撃を通して認証に成功した後、様々なマルウェアをインストールしたものと推定され、Shc ダウンローダーマルウェアとこれを通してインストールされる XMRig コインマイナー、そして Perl…
ASEC 週間フィッシングメールの脅威トレンド (20221218 ~ 20221224) Posted By ATCP , 2023년 01월 03일 ASEC 分析チームでは、ASEC 自動解析システム(RAPIT)とハニーポットを活用してフィッシングメールの脅威をモニタリングしている。本記事では、2022年12月18日から12月24日までの一週間で確認されたフィッシングメール攻撃の拡散事例と、これらをタイプ別に分類した統計情報を紹介する。一般的にはフィッシング攻撃者が社会工学技法を利用し、主にメールを利用して機関、企業、個人などに偽装したり、これらを詐称することで、ユーザーにログインアカウント(クレデンシャル)情報を流出させる攻撃のことを指す。また、フィッシングは広い意味で、攻撃者が各対象を相手にする情報流出、マルウェア配布、オンライン詐欺行為などの攻撃を可能にする不正な手口(technical subterfuge)を意味する。本記事では、フィッシングは主にメールで配布される攻撃というところにフォーカスをあてている。そして、フィッシングメールをベースに行われる様々な攻撃方式を詳細にカテゴライズする。そしてまだ発見されていなかった新たなタイプや注意すべきメールをキーワードとともに紹介し、ユーザーの被害の最小化に努める。本記事で扱うフィッシングメールは添付ファイルのあるメールのみとする。添付ファイルがなく、不正なリンクのみが本文に含まれているメールは本記事では扱わない。 フィッシングメールの脅威タイプ 一週間のフィッシングメールの添付ファイルのうち、最も多いタイプは情報窃取マルウェア(Infostealer、35%)であった。情報窃取マルウェアは AgentTesla、FormBook などが含まれており、Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させる。 その次に多かったタイプは偽のページ(FakePage、34%)であった。偽のページは攻撃者がログインページ、広告ページの画面構成、ロゴ、フォントをそのまま模倣したページで、ユーザーに自分のアカウントとパスワードを入力するように誘導し、入力された情報は攻撃者の…
インフォスティラー攻撃者が収益を得る方法 Posted By ATCP , 2023년 01월 03일 インフォスティラーは情報窃取型マルウェアであり、Web ブラウザや電子メールクライアントのようなプログラムに保存されているユーザーアカウント情報や仮想通過ウォレットアドレス、ファイルのようなユーザー情報を窃取することを目的としたマルウェアである。 2022年の第3四半期の ASEC レポートによると、インフォスティラーは実行ファイルフォーマット基準でクライアントから受け取ったり収集されたりしたマルウェアのタイプのうち、半数以上を占めている。ダウンローダータイプのマルウェアも実質的にインフォスティラーやバックドアタイプのマルウェアをインストールするため、配布される数だけを見ると一般のユーザーや企業ユーザーをターゲットとした攻撃の大半を占めていると言える。[1] [図1] 2022年第3四半期のマルウェアの状況 一般的にインフォスティラーは商用ソフトウェアの Crack、シリアル生成プログラムのダウンロードページに偽装した不正なサイトから配布したり、スパムメールの添付ファイルを通して拡散されたりする。以下は2022年第3四半期に確認されたインフォスティラーマルウェアの比率である。AgentTesla、Formbook、Lokibot、SnakeKeylogger は主にスパムメールの添付ファイルを通して配布され、RedLine や CryptBot、Vidar…
ASEC マルウェア週間統計 ( 20221219~20221225 ) Posted By ATCP , 2023년 01월 02일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年12月19日(月)から12月25日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではインフォスティラーが37.3%と1位を占めており、その次にダウンローダーが35.7%、バックドアが23.9%、ランサムウェアが3.1%の順に集計された。 Top 1 – BeamWinHTTP 23.3%で1位を占めた BeamWinHTTP…
最新 .NET パッカーの種類および韓国国内の拡散動向 Posted By ATCP , 2022년 12월 28일 0. 概要 本内容は TI レポートの「最新 .NET パッカーの動向および分類レポート(日本語なし)」を縮約した内容であり、詳しい内容は、最下段のリンクから確認できる。 最近 .NET で作られたパッカーが韓国国内外で多数確認されている。そのため ASEC 分析チームでは、韓国国内で主に配布されている5つの種類の…
ASEC 週間フィッシングメールの脅威トレンド (20221211 ~ 20221217) Posted By ATCP , 2022년 12월 26일 ASEC 分析チームでは、ASEC 自動解析システム(RAPIT)とハニーポットを活用してフィッシングメールの脅威をモニタリングしている。本記事では、2022年12月11日から12月17日までの一週間で確認されたフィッシングメール攻撃の拡散事例と、これらをタイプ別に分類した統計情報を紹介する。一般的にはフィッシング攻撃者が社会工学技法を利用し、主にメールを利用して機関、企業、個人などに偽装したり、これらを詐称することで、ユーザーにログインアカウント(クレデンシャル)情報を流出させる攻撃のことを指す。また、フィッシングは広い意味で、攻撃者が各対象を相手にする情報流出、マルウェア配布、オンライン詐欺行為などの攻撃を可能にする不正な手口(technical subterfuge)を意味する。本記事では、フィッシングは主にメールで配布される攻撃というところにフォーカスをあてている。そして、フィッシングメールをベースに行われる様々な攻撃方式を詳細にカテゴライズする。そしてまだ発見されていなかった新たなタイプや注意すべきメールをキーワードとともに紹介し、ユーザーの被害の最小化に努める。本記事で扱うフィッシングメールは添付ファイルのあるメールのみとする。添付ファイルがなく、不正なリンクのみが本文に含まれているメールは本記事では扱わない。ログインアカウント情報流出タイプは、偽のログインページで用語を定義している。 フィッシングメールの脅威タイプ 一週間のフィッシングメールの添付ファイルのうち、最も多いタイプは情報窃取マルウェア(Infostealer, 54%)である。情報窃取マルウェアは AgentTesla、FormBook などが含まれており、Web ブラウザ、メールおよび FTP…
